Présentation de la loi 09-08 concernant la protection des personnes physiques à l’égard du traitement des données à caractère personnelle
Inspirée de la célèbre loi française Informatique et Libertés, la loi n° 09-08 relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel a été publiée au Bulletin Officiel n° 5744 du 18 Juin 2009, après avoir été promulguée par le Décret n° 2-09-165, en date du 21 mai 2009. Elle introduit, pour la première fois, dans le paysage juridique marocain, un ensemble de dispositions légales harmonisées avec le droit européen et, notamment, avec la Directive Communautaire n° 95/46.
Ayant vu le jour sous la pression des acteurs de l’offshoring, notamment les centres d’appels délocalisés dont l’activité nécessitait un traitement rigoureux des données à caractère personnel, la loi précitée vise la protection de l’identité, des droits et des libertés individuelles et collectives ainsi que de la vie privée, contre toutes les atteintes susceptibles de les affecter par l’usage de l’informatique.
La loi prévoit, des clauses relatives aux objectifs, champ d’application et au référentiel du concept de protection des données personnelles, des dispositions portant sur les conditions du traitement de cette catégorie de données, les droits de la personne concernée et obligations du responsable du traitement, outre la création d’une commission de contrôle de la protection de cette catégorie de données.
1. La nature des données à protéger
La loi n° 09-08 s’applique au traitement des données à caractère personnel, sous quelque forme que ce soit relatives à une personne physique identifiée ou identifiable. Le nom, prénom, adresse, courriel, photographie d’identité, numéro d’identification, empreintes digitales constituent par exemple des données à caractère personnel. Dans cette optique peut-on considérer une adresse IP comme une donnée à caractère personnel et par conséquent tombe sous la protection de la loi n°09-08. Compte tenu du fait que la loi marocaine n’est qu’une reproduction de la loi française, il apparaît opportun d’apporter les précisions émises par la jurisprudence française concernant l’adresse IP. Ainsi, récemment la cour d’appel de Paris a estimé que contrairement à la position de la CNIL le relevé de l’adresse IP qui est une série de chiffres qui entre dans le constat de la matérialité de l’infraction et non dans l’identification de son auteur ne constitue en rien une donnée indirectement nominative.
Le traitement qui fait l’objet de la protection des données à caractère personnel concerne toute opération ou tout ensemble d’opérations portant sur des données à caractère personnel réalisés ou non par le biais de procédés automatisés. Il s’agit notamment de la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. Rappelons, par ailleurs, qu’une seule de ces opérations suffit à constituer un traitement de données à caractère personnel qui sera soumis aux dispositions de la loi n°09-08. Le simple fait de collecter les données, sans même les communiquer ou les diffuser, suffit à caractériser un traitement.
Il convient de souligner par ailleurs que les implications de cette nouvelle loi concernent non seulement les entreprises et les citoyens établis sur le territoire marocain mais aussi toutes les entreprises étrangères qui entretiennent des relations d’affaires avec leurs homologues marocaines ou qui échangent des données avec leurs filiales ou leurs maisons mères marocaines, tout en utilisant des moyens situés sur le territoire marocain. Toutefois, le champ d’application de cette loi exclut les données relatives à l’exercice d’activités personnelles ou ménagères, celles obtenues au service de la Défense nationale et de la Sûreté intérieure et extérieure de l’Etat, ou encore celles obtenue dans le cadre du traitement effectué en application d’une législation particulière.
2. Les droits de la personne concernée
Chaque traitement de données à caractère personnel, ou son transfert à des tiers, nécessite en principe, pour être effectué, le consentement indubitable de la personne concernée par ledit traitement ou ledit transfert. Toutefois, ledit consentement n’est pas requis dans certains cas, notamment pour le respect d’une obligation légale, la sauvegarde d’intérêts vitaux ou l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.
Les personnes physiques disposent au titre des articles 5 et suivants de la loi précitée de quatre types de droits.
Le droit à l’information
Ce droit de regard sur ses propres données personnelles vise aussi bien la collecte des informations que leur utilisation. Ce droit d’être informé est essentiel car il conditionne l’exercice des autres droits tels que le droit d’accès ou le droit d’opposition. Ainsi, Toute personne sollicitée en vue d’une collecte de ses données personnelles, doit être préalablement informée par le responsable du traitement de celles-ci ou son représentant d’un certain nombre d’éléments dont principalement les finalités du traitement auquel les données sont destinées.
Le droit d’accès
Autre le droit à l’information, la loi précitée donne la droit à la personne concernée d’être au courant de la compilation de ses données et d’y avoir accès pour s’assurer de leur véracité et si elles font l’objet d’un usage sain. L’accès peut se faire à intervalles raisonnables sans qu’il y ait d’entrave à ce droit, c’est-à-dire sans que la procédure d’accès soit trop lourde.
Le droit de rectification
Le droit de rectification constitue un complément essentiel du droit d’accès. En effet, les personnes concernées peuvent obtenir l’actualisation, la rectification, l’effacement ou le verrouillage des données personnelles collectées, notamment du fait du caractère inexact ou incomplet des informations.
Le droit d’opposition
Enfin, pour autant qu’elle justifie de motifs légitimes, la personne concernée pourra s’opposer au traitement des données la concernant. Ainsi toute personne peut refuser, sans avoir à se justifier, que les données qui la concernent soient utilisées à des fins de prospection, en particulier commerciale.
3. Les obligations du responsable du traitement
La loi n°09-08 définit le responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires, le responsable du traitement doit être indiqué dans la loi d’organisation et de fonctionnement ou dans le statut de l’entité légalement ou statutairement compétente pour traiter les données à caractère personnel en cause ».
Selon la nature des informations collectées, le traitement va nécessiter soit une autorisation préalable, soit une déclaration préalable de la part de la Commission de contrôle de la protection des données à caractère personnel. Le responsable de traitement est tenu en outre par des obligations de confidentialité et de sécurité des traitements et de secret professionnel.
Déclaration préalable
Tout traitement de données personnelles doit donner lieu à une déclaration préalable auprès de la commission nationale sauf si la loi en dispose autrement conformément à l’article 18. Ainsi constitue bien une collecte de données à caractère personnel devant donner lieu à une déclaration le fait d’identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques. La déclaration préalable comporte l’engagement que le traitement sera effectué conformément aux dispositions de loi. La dite déclaration a pour objet de permettre à la commission nationale d’exercer les compétences qui lui sont dévolues et de contrôler le respect des dispositions de la loi. Le défaut de déclaration est sanctionné par l’article 52 de la loi précitée.
Le principe de finalité constitue un élément majeur « les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ». Dés lors un traitement de données à caractère personnel est créé pour atteindre un objectif et ne pas servir à d’autres fins. Ainsi, la SNCF qui avait déclaré comme finalité du fichier Socrate la délivrance de titres de transport a commis un détournement de finalité en utilisant ses fonctionnalités pour vérifier l’activité d’un personnel.
Autorisation préalable
L’autorisation préalable devra être obtenue par le responsable du traitement lorsque ledit traitement porte sur des données dites « sensibles ». Par données sensibles, il est entendu conformément à l’alinéa 3 de l’article premier « données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale de la personne concernée ou qui sont relatives à sa santé y compris ses données génétiques ». En outre, doivent être soumises à autorisation préalable les données utilisées à d’autres fins que celles pour lesquelles elles ont été collectées, les données relatives aux infractions, condamnations ou mesures de sûreté, de même que les données comportant le numéro de la carte d’identité nationale de la personne concernée. Rappelons cependant, que conformément à l’alinéa 1 de l’article 12, des exemptions de déclaration sont parfois possibles pour les associations ou tout autre groupement à but non lucratif et à caractère religieux, philosophique, politique, syndical, culturel ou sportif. Tout comme pour la déclaration préalable, le défaut de l’autorisation préalable est sanctionné par l’article 52 de la loi précitée.
Obligation de confidentialité et de sécurité des traiements et de secret professionnel
Autre l’obligation de procéder à une déclaration préalable ou à une autorisation préalable, selon les cas, le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Cette obligation relève de l’article 23 de la loi n°09-08 et son défaut est sanctionné. Il peut être assuré au moyen d’une sécurisation des transferts, des accès par des mots de passe sur les postes, par l’attribution de niveau d’habilitation ou de profils d’accès variant avec le niveau des utilisateurs. Mais la sécurité n’est jamais totale et doit adaptée à l’état de l’art et à l’importance des données à protéger.
4. L’organe chargé du respect des dispositions de la loi 09-08
Pour veiller, au respect de ses différentes dispositions, la loi 09-08 a institué la commission nationale de contrôle de la protection des données à caractère personnel. Chargée de veiller à la mise en œuvre des dispositions de la loi, la commission nationale est un organe doté de prérogatives et de larges pouvoirs d’investigation, de contrôle et d’intervention. Ses membres sont nommés par sa majesté le Roi afin de garantir leur autonomie et leur impartialité vis-à-vis des différentes parties prenantes.
Rappelons par ailleurs qu’un décret d’application de la loi 09-08 a été publié au Bulletin Officiel N° 5744 dans son édition du 18 juin 2009. Ledit décret a fixé notamment les conditions et modalités de désignation des membres de la Commission Nationale, ses règles de fonctionnement et ses pouvoirs d’investigation, ainsi que les conditions de transfert des données à caractère personnel vers un pays étranger.
Notons enfin que des sanctions allant de simples amendes à des peines d’emprisonnement ont été mises en place pour assurer le respect des nouvelles dispositions.
Aucun commentaire:
Enregistrer un commentaire